シス テム を 監視 する 


組み 込み ソフ トウ ェ ア 設 計 


メモ リ も ペリ フェ ラル も 信用 し な い , それ も これ も 安全 の た め 


韻 伸幸 


組み 込み ソフ トウ ェ ア は , プロ セッ サ や メモ リ な どか ら 構 成 さ 
れる シス テム 上 に 搭載 され て 動作 し て いる . この と き , ブロ グ 
ラム 自体 に 不具 合 が あれ ば , 当然 シス テム に も 不具 合 が 発生 す 
る . また , プロ グラ ム 自 体 に 不具 合 が な く て も , ノイ ズ な どの 
外 的 要因 に よっ て , メモ リ に 書き 込ん だ は ず の デー タ が 変わ つ 
て し まう こと が あり 得る . ここ で は , その よう な 想定 外 の 事態 
に で きる だ け 対 応 す る た め に , ソフ トウ ェ ア が 自分 自身 や ハー 
ドウ ェ ア を 監視 し て 不具 合 を 検出 する た め の 設 計 に つい て 解説 
する . (編集 部 ) 


ソフ トウ ェ ア 投 術 者 は , ハー ド ウェ ア に 対し て 絶対 的 な 
信頼 を 期待 し が ち で す . メモ リ に 書き 込ん だ デー タ の 値 は 
電源 を 切ら な い 限 り 変わ ら ず , ペリ フェ ラル の 設定 は 意図 
的 に 変え な い 限 り 変わ ら な い , と . ソフ トウ ェ ア 部 品 に 対 
し て さえ も , 不具 合 さ えな けれ ば , いつ も 必ず 正しく 動作 
する と 信じ て いま す . 

し か し | 不具 合 が な い 」 と は , ほとん どの 場合 想定 され 
た 要件 に 対し て は 」 と いう 条件 が 付き ます . 世の中 の 事故 
事例 を 解析 する まで も な く , 身近 な クレ ー ム を 見 れ ば 分 か 
る よう に , 綿密 な テス ト の すき を 突く よう な 問題 が し ば し 
ば 発生 し て いま す . 

この よう な 問題 に 対し て は , これ まで 考慮 不足 な ど 
に よる 対象 モジ ュー ル の 不具 合 」 と し て と ら え , 対策 し て 
きま し た . も ちろ ん その こと は 重要 で す が , 十分 に テス ト 
され た 部 品 で も 特定 の 条件 に お いて は 期待 通り 動作 し な い 
こと が あり 得る , つま り 「 部 品 ば ソフ トウ ェ ア で も ハー ド 
ウェ ア で も ) 故障 する こと が ある 」 と いう 発想 の 下 で 対策 を 


作り 込ん で お く と いう , 機能 安全 の 考え 方 も 重要 で す . 

従来 の 手法 を 継続 ・ 発展 させ て 信頼 性 を 高め つつ , 故障 
を 未然 に 防い だ り , 故障 し て も それ を 検出 し て 回 復 動作 を 
行う こと で , シス テム と し て の 異常 動作 を 最小 限 に 抑え た 
り する こと が 求め られ ます . 

ここ で は , ソフ ト ウェ ア プログラム ) で 異常 を 検出 する 
た め の 監 視 方 法 に つい て 解説 し ます . 監視 対象 は 大 きく 二 
つ に 分 けら れ ま す . 一 つ は ソフ ト ウェ ア の 自己 監視 で あり , 
も う 一 つ は マイ コン や セン サ な どの 物理 層 の 監視 で ず り ま 1. 


1. プロ グラ ム を 自己 監視 する | 


組み 込み ソフ トウ ェ ア の 最も 単純 な 階層 構造 の 例 を , 図 
回 志 じ ま す 。 ここ で アプ リ ゲ テ ー ジ ション ソラ クト ジェ ア に 
自分 自身 の 動作 状態 と , 下位 層 で ある ミド ルウ ェ ア 汎用 
サブ ルー チン ) や デバ イス ・ ド ライ バ の 動作 状態 を 監視 す 
る 機能 を 持た せま す . 同じ よう に , デバ イス ・ ド ライ バ に 
は , 自身 と 下位 層 で ある ハー ド ウェ ア を 監視 する 機能 を 持 
た せま す . 


人 @ 処理 の 実行 順序 を 監視 する 

まず は , シー ケン シャ ル な 処理 を 実施 する アプ リ ケ ー シ 
ョ ン ・ ソ フト ウェ ア に つい て , 順番 通り 処理 を 実行 で き て 
いる か どう か を 監視 する プロ グラ ム を 考え て み ま ず 図 2). 


注 1: 異常 検出 の た め の 監 視 対象 に つい て は , IEC 61508 規 格 の 第 3 部 7229 
に 記述 され て いる . な お 第 3 部 の 冒頭 に は , 第 1 部 と 第 2 部 を 理解 し 
た 上 で の み 用 いる よう に と の 指示 が ある . 


田 | | 
ーー ゴイ 機能 安全 , IEC 61508, 信頼 性 , 監視 , 予防 , 耐 タ ン パ , チェ ッ ク ・ サ ム 


34 Design Wave Maggzine 2006 December 
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自己 B つ C っ DE の 順 で 実行 され た ? 図 

監視 視 較 N た 呼 ギ に の N 呈 ば し に の) 
A か ら 呼ば れ た ? 鐘 還 A か ら 呼ば れ た ? 

自選 デパ イス ・ ドラ イ バ 図 直前 は D? 較 > 直前 は A? 図 

臣 視 視 図 < ぐつ 


物理 届 ハー ド ウェ ア ) 図 


図 1 組み 込み シス テム の 階層 構造 
ここ に 示し た の は , 最も 単純 な 階層 構造 の 例 で ある . シン プル な シス テム で 
も , 階層 構造 を 明確 に し て お く こ と は 重要 . 信頼 性 だ け で な く , 安全 対策 と 


制御 の 流れ 凶 
世 G5D くつ 


し て も 有効 で ある . 
A か ら 呼ば かれ た? 的 0 机上 

処理 モジ ュー ル B,C, D, E は , 主 処理 モジ ュー ル A か 思 。 細 の 

ら 順番 に 呼び 出さ れ て 実行 され る 仕様 と し ます . シー ケン シャ ル な 処理 シス テム の 場合 , 自身 の 実行 経路 は 容易 に 記録 ・ 確 認 
BE の 各 処 理 モジ ュー ル に お いて は , 主 処理 モジ ュー 3 

ル で ある A か ら 呼 び 出 され て いる か , 直前 の 処理 モジ ュー 呼び 出さ れ た モジ ュー ル は 引き 数 が u1MOD A で ある こと 

ル が 適正 な も の で ある か を チェ ッ ク し ます . 主 処理 モジ ュ を 調べ る こと で , 正しく 主 処理 モジ ュー ル か ら 呼び 出さ れ 

ー ル A に お いて は , 処理 が 1 周 す る ご と に 実行 順序 が 適正 た こと を 確認 し まず 図 3 の ①). 引き 数 は 通常 スタ ッ ク ま 

で あっ た か を チェ ッ ク し ます . た は レジ スタ で 渡さ れ ま す が , 暴走 な ど 異 常 動作 で た また 
実装 と し て は , 各 モ ジュ ー ル が RAM 上 に 実行 履歴 を 書 まこ の 処理 に 制御 が 移っ た 場合 , 引き 数 が 正しい 値 と 一 致 

き 込 ん で いき , その 値 を 別 モ ジュ ー ル が チェ ッ ク す る と い する 確率 は 低い と いう 原理 を 利用 し て いま す . な お , この 

っ た 方 法 が 考え られ ます . 例 で は u1 と いう 1 バイ ト で 記述 し て いま す が , u4 
図 3 に も う 少 し 具体 的 な 例 を 示し ます . 主 処理 モジ ュー ( unsigned 1ong) な ど 値 を 大 きく する こと で 異常 呼び 出 

光 モジ ュー ルム A) は 各 処 理 モ ジュ ー ル モジ ュー ル BE) し の 検出 精度 を 上 げ る こと も で きま す . 

を 呼び 出す と き , u1MOD A と いう 値 を 引き 数 に 渡し ます . 各 処 理 モ ジュ ー ル は 呼び 出し 元 が 正しい こと を 確認 し た 


主 処理 か ら 決 まっ た 値 の 引き 数 
を 受け て , その 値 を 調べ る こと 

り , 呼び 出し 元 が 主 処理 で 
ある こと を 確認 する 較 


モジ ュー ル B 較 


YoCqpub1 (u1 u1From) 
( ① 
) { 


FE (u1From != u1MOD A 
vor11ega1 () : 


履歴 管理 


} モジ ュー ル 罰 


モジ ュー ル ん A 図 
( 主 処理 ) 図 
e1se{ 
whi1e(1){ 
YoTn1EH1gEory ( ) : 


Yo1d voTnitH1igtory( ) 


u1 u1ReoH1gtory (u1 Moau1eNum) 


{ 


u1  u1Resu1: 


vocgputdRu1MoD A) 
YoCqpub2 (u1MOD 私 ) : 
YoCqpuDb3 (u1MOD 和信) : 


voGetH: 科 ory (u1pHistbuf) : 
if (u1CheokkH1 st 上 Ory (u1pH1 buf ) 」 

==u1ERROR) { 1 
YoT11ega1 () : 


if (u1Point < MAX HTSTORY) { 
u1H18Eory [u1Po1nE] =u1Modu] eNum 
u1Po1n キ ++ : 
u1re8gu] = OK: 

} 

e1se{ 
u1Resu1 上 = ERROR: 


1 


モジ ュー ル C 図 


YoCqpub2 (u1 u1From) 


{ 


1f (u1From != u1MOD A) { 
vor11ega1 () : 

} 

e1se{ 

ifE (u1RecH1 st 上 ory (u1MOD_C) 


ェ return u1ReSu]: 


図 
凶 
Yo1d voGetH1gtory( ) 


{ 


1 周 ご と に 記録 を 読み 出し て 
正しい か 確認 する 凶 


図 3 シー ケン シャ ル 処 理 に お ける 監視 の 実装 例 
履歴 の 保存 や 読み 出し は 専用 の モジ ュー ル で 行う . 安易 に グロ ー バ ル 変 数 で 実装 し た りす る と , 品質 の 低下 に つなが る . 
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ら , 次 に 自分 の 実行 履歴 を 残し まず 図 3 の ②). そし て , 
各 処 理 モ ジュ ー ル の 処理 が 一 巡 し た 時 点 で 主 処 理 モジ ュー 
ル が 実行 履歴 を 読み 出し , 正しい 順に 実行 され た か どう か 
を 照合 し まず 図 3 の ③). 


人 @ 処理 の タイ ミン グ を 監視 する 

今度 は , 一 定時 間 ご と に 処理 が 呼び 出さ れる 場合 の 例 を 
図 4 に 示し ます . 処理 を 開始 する 時 点 で , 正しい タイ ミン 
グ で 呼び 出さ れ て いる か , また 前 回 呼び 出さ れ て か ら の 経 
過 時 間 は 適正 か を チェ ッ ク し ます . 

さら に , スケ ジュ ー ラ 方 式 で な く て も , 処理 の 終了 時 点 
で 処理 自体 に か か っ た 時 間 を チェ ッ ク し , シス テム の 異常 
を 検知 する こと も で きま す . 

いずれ に し て も , 実装 に お いて は 専用 の タイ マ ・ サ ービス 
( ハー ド ウェア ・ タ イマ ) を 用 意 す る 必要 が ある で し ょ う . 


人 @ 下位 層 を 監視 する 

下位 層 を 監視 する 例 と し て , アプ リケーション ・ ソ フト 
ウェ ア か ら デ バイ ス ・ ド ライ バ を 監視 する 例 を 示し まず 
5). アプ リケーション ・ ソ フト ウェ ア は ある 時 点 で デバ イ 
ス ・ ド ライ バ を 呼び 出し ます . 同時 に タイ マ を 設定 し , 一 


タイ ミン グ は 図 
正しい か ? 較 
前 回 か ら の 凶 
経過 時 間 は 適正 か ? 


自身 の 処理 時 間 は 凶 
適正 か ? 較 


図 4 一 定時 間 ご と に 呼び 出さ れる 処理 に お ける 監視 
必ず 一 定 間隔 で 実行 され る 処理 群 で は , この よう な 監視 も 有効 で ある . 


こら に た だ ニラ ニー ニー 


_ 復帰 処理 図 
害 図 ( 初期 化 ) 図 


宇 


図 5 下位 層 の 監視 


テス ト され た 部 品 で あっ て も , すべ て の 外乱 条件 を 網羅 し て いる こと は あり 
得 な い . 障害 は 起こ り 得 る も の と し て 使う . 
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定時 間 以 上 応答 が な い 場 合 タイ ム ア ウ ト し た 場合 ) は 障害 
が あっ た と みな し て , デバ イス ・ ド ライ バ に 対し て 初期 化 
な どの 復帰 処理 を 行い ます . 

デバ イス ・ ド ライ バ か ら デ バイ ズ 物理 層 ) に アク セス す 
る 場合 も , 同じ 手法 が 適用 で きま す . 


@ 一 つの 要件 に 対し て 複数 の 処理 を 用 意 する 
その ほか , TEC 61508 に は ダイ パー ス ・ プ ログ ラミ ング 
( diverse programming) と いう 言葉 が 登場 し ます . 聞き な 
れ な い 言 葉 だ と 思う の で , 紹介 し ます . 
これ は , 同じ 要件 処理 に 対し て 異な る 処理 方 法 を 複数 用 
意 し , 実行 する 方 法 で ず 図 6). 理想 的 に は , 異な る ハー 
ドウ ェ CPU) に それ ぞ れ 異な る アル ゴリ ズム で 実装 する 
の が 望ま し いよ う で す が , 同じ CPU に アル ゴリ ズム だ け 暴 
な る 処理 を 載せ る こと で も 効果 を 得 ら れる と 思い ます . こ 
の 方 法 で は , 処理 結果 の 誤差 許容 範囲 と , 範囲 逸脱 時 の 処 
理 仕様 の 設計 が ポイ ント に な る で し ょ う . 


2. 物理 層 を 監視 する | 


物理 層 が 正常 に 動作 し て いる か どう か を 監視 する 方 法 は , 
対象 回 路 の 動作 仕様 ご と に 異な り ま す . 

ソフ トウ ェ ア の 動作 と 非同期 に 値 や 状態 が 変化 する よう 
な も の や , CPU その も の 実行 ユニ ッ ト ) の 異常 な ど に つ 
いて は , ソフ トウェア か ら 異 常 を 検出 する の は 困難 で す . 
それ で も , 一 般 的 に 適用 で きる 技法 は いく つか あり ます . 


⑯ メモ リ や レジ スタ の 内 容 を 疑う 
まず は 自分 自身 , つ まり ROM コ ー ド の チェ ッ ク ・ サ ム 


図 6 ダイ パース ・ プ ログ ラミ ング 

同一 の 処理 を 複数 の 異な る アル ゴリ ズム で 処理 し 一 致す る こと を 確認 する 
方 法 ・ こ れ に より , 特定 の 処理 に お ける 特定 条件 で の 不具 合 を 検出 する こと 
が で きる . 
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メモ リ ・ マ ッ プ 較 
0000H| 3E 00 D3 54 FE 21… 清 


ROM 領 域 図 
プロ グラ ム + 初期 値 ) 
+ 図 


ROM 領 域 の 隊 
最終 ワー ド 凶 
合計 図 
処理 ワー ド 長 を 図 
超え た 分 は 捨て る 図 
図 7 ROM チェ ッ ク ・ サ ム 


ROM 領 域 の 内 容 の 総和 を 求め て チェ ッ ク す る 方 法 . 通常 は 1 一 4 バイ ト の 
単位 を 処理 長 と し て 総和 を 計算 し , 下位 の 処理 長 分 を チェ ッ ク ・ サ ム 値 と す 
る ( けた あふ れ 分 は 捨て る ). ROM 領 域 に お ける 最終 ワー ド の 直前 まで の チ 
ェ ッ ク ・ サ ム を 計算 し , 最終 ワー ド に は その 値 の 2 の 補 数 を 入れ て お く と い 
う 方 法 が よく と られ る . チェ ッ ク 時 に は 最終 ワー ド ま で 計算 し て , チェ ッ 
ク ・ サ ム 値 が ゼロ に な れ ば OK と する . 故意 で な い 破 壊 に 対し て は 簡単 で 効 
果 的 な 方 法 で ある が, 不正 改造 に 対す る 防 叙 耐 タン パ ) 目的 な ら , 計算 方 
法 や 処理 範囲 な ど に 工夫 が 必要 で ある . 


0 ワー ド 目 003E 団 


1 ワー ド 目 54D3 了 
2 ワー ド 目 21FE 
図 に 

…XXXX XXXX 
>ー ッ ーー ェ ー ヘ ーー ン 


xxXxx 昌 


を 確認 し まず 図 /. チェ ッ ク ・ サ ム に より , 製造 工程 で 
の 書き 込み ミス や 劣化 , 動作 異常 に よる ROM 破壊 , 第 三 
者 に よる 改変 な ど を 検出 で きま す . 通常 は シス テム 起動 時 
に 1 回 チェ ッ ク す る と いう 仕様 が 多い の で す が , 長 時 間 連 
続 稼 働 す る よう な も の は 定期 的 に チェ ッ ク を 行う と よい で 
し ょ う . 改変 に 対す る 防御 を 考慮 する 場合 は ,,( チェ ッ ク ・ 
ルー チン を スキ ッ プ させ る こと へ の 対抗 と し て ) 複数 個所 
で チェ ッ ク を 実施 する と 効果 的 で す . 

ROM と 同様 に , RAM の 異常 に も 対処 が 必要 で す . ノイ 
ズ な ど に よる 内 容 破 壊 を 監視 し な けれ ば な り ま せん . RAM 
その も の に ハー ド ウェ ア 的 な 誤り 検出 機構 パリ ティ ・ ビ 
ッ ト な ど ) が ある 場合 は , 積極 的 に それ を 利用 し ます . な 
い 場 合 は , 例え ば RAM の 特定 番地 に ユニ ー ク な 値 を 書き 
込ん で お き , それ を 定期 的 に 調べ る と いう 方 法 も あり ます 
( 図 8). これ は RAM の 物理 的 異常 だ な け で な く , プロ グラ 


we リリ ( 目 要件 と 設計 の 関係 


設計 に お いて 要件 を 網羅 する こと は 当然 で す が , 逆 に 要件 に な い 
も の は 決し て 実装 し て は いけ ませ ん . 安全 対策 と し て いろ いろ な 技 
術 が あり ます が , それ ら は すべ て 要件 と し て 定義 され て いる べき で 


す . すなわち , シス テム 設計 者 が シス テム の 安全 に 関す る アー キテ 
クチ ャ の 一 環 と し て , ソフ トウ ェ ア に 対す る 要件 を 把握 し , 定義 す 


る 必要 が あり ます . そう で な いと , せっ か く 入れ た 対策 が シス テム 
全体 と の 不適 合 を 起こ し て し まい , それ 自体 が 不具 合 の 原因 と な り 


チェ ッ ク ・ サ ム 値 図 


RAM 
特定 番地 に 値 XX XX 
を 書き 込ん で 
お き , 定期 的 し ル 
に 読み 出し て 22 
破壊 が な いか 
を 調べ る 図 


XX XX 


スタ ッ ク 困 


スタ ッ ク 領 域 付近 な ど に 配置 する と 図 
プロ グラ ム 異 常に よる 破壊 も 検出 で きる 
図 8 RAM の 破壊 監視 


特に 外部 に 接続 され た RAM は ノイ ズ に よる 影響 を 受け や すい の 
で , より 厳し い 監 視 や 未然 防止 技法 を 適用 し て お く . 


ム の 誤動作 に よる 変数 領域 ) 破壊 の 検出 に も 有効 で す . 
記録 デー タ や パラ メー タ な ど , アク セス が それ ほど 疾 繁 
で な いも の は , デー タ そ の も の に チェ ッ ク ・ サ ム を 付け た 
り デー タ を 異な る アド レス に 2 重 に 保存 し た り し ます 注 2. 
特に 外部 バス に 接続 され た メ モリ 領域 は 。 ノイ ズ な ど に よ 
る 誤 ア クセ ス の 発生 が 考え られ る の で , 必ず な ん ら か の 対 
策 を 講じ て お く 必要 が あり ます . 

マイ コン の 内 蔵 ペ リフ ェ ラ ル の レジ スタ に つい て も , デ 
ー タ 破壊 や デー タ 化け へ の 考慮 が 必要 で す . ペリ フェ ラル 
動作 の 許す 範囲 で , 特に 動作 モー ド の 設定 値 な ど に 定期 的 
に 正しい 値 を 上 書き する と いっ た 対策 が 有効 で す . これ は 
監視 と いう より も , 予防 措置 と いえ ます ば 3. 


@ 安全 機能 を わざ と 起動 させ て みる 
な ん ら か の 安全 機能 を わざ と 起動 させ て 動作 を チェ ッ ク 


注 2: 重複 保存 し た デー タ に 不一致 が 検出 され た 場合 は , 一 般 的 に は それ ら 
を 破棄 し て 初期 化 を 行う . 
注 3: 設定 値 を 読み 出し て 異常 だ っ た ら 正 常 値 を 書き 込む より も , いき な り 
正常 値 を 上 書き する 方 が 手 っ 取り 早い . 


か ね な いか ら で す . 

し か し , シス テム 設計 者 が ソフ トウ ェ ア の 詳細 設計 レベ ル の テク 
ニッ ク に 精通 し て いる と は 限り ませ ん . ソフ トウ ェ ア 設 計 者 は , 要 
件 に 対し て 受け 身 に な ら ず , 安全 の 観点 か ら 積極 的 に ソフ トウ ェ ア 
で で きる 対策 案 を 提案 し , 要件 に フィ ー ド バッ ク し て いく べき で し 
よう . 
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プロ グラ ム 


| SS 
図 9 ウォ ッ チ ドッ グ ・ タ イマ 


定期 的 に ある タイ ミン グ で 更新 を 停止 し , 正常 に 機能 する か どう か を 検査 
する . 


する 方 法 も あり ます . 図 9 に ウォ ッ チ ドッ グ ・ タ イマ の 例 
を 示し ます . ウォ ッ チ ドッ グ ・ タ イマ を 使う こと 自体 は ポ 
ピュ ラー な 方 法 で す が , ここ で は ウォ ッ チ ドッ グ ・ タ イマ 
が 故障 し て いな いこ と を 確認 する た め に , 定期 的 に わざ と 
更新 処理 を や め る こと で , ウォ ッ チ ドッ グ ・ タ イマ が 正常 
に 働く か どう か を チェ ッ ク し て いま す . この よう に , シス 
テム の 動作 中 に , 安全 機能 を 定期 的 に チェ ッ ク す る こと が 
有効 で す . 

ここ まで 説明 し て きた 方 法 は , 特に 目新し いも の で は あ 
り ま せん . し か し , それ ゆえ に 要件 と し て 明記 され て いな 
か っ た り , 設計 現場 で は 一 種 の 常識 と し て ぞんざい に 扱わ 
れ て いる 場合 も あり ます . 安全 上 の どの よう な 問題 に 対し 
て どの よう な 技術 が ある の か , そし て どれ を 実装 する の か 
を 明示 し , 設計 段階 で 十分 レビ ュー する こと が 大 切 で す . 
な お , 機能 安全 は 局所 的 に テク ニッ ク を 投入 する だ け で 
実現 で きる も の で は あり ませ ん . シス テム と し て 安全 を 実 
児 する た め に , 設計 工程 全体 で 取り 組ん で いく 必要 が あり 
まず p.37 の コラ 要件 と 設計 の 関係 」 を 参照 ). 


3. 異常 を 検出 し た と き の 対 処 | 


監視 処理 で 問題 が 検出 され た と き , どの よう に 対処 すれ 
ば よい で し ょ うか . IEC 61508 の 中 で は , 第 3 部 の 付属 
A に いく つか 技法 が 記述 され て いま す . 


則 | 


we リド 目 安全 に 対す る 意識 は 日 々 の 会 話 か ら 


以前 , 茶 セ ッ ト ・ メ ー カ の 偉い 方 か ら ,「 うち の 製品 は 設計 ミス 
を する と 人 が 死に ます か ら 」 と 言わ れ た こと が あり ます . 背筋 の 伸 


びる 思い で し た . 設計 専門 の 会 社 で 仕事 を し て いる と , どう し て も 
バー チャ ル な と ころ に 意識 を 置い て し まい が ち で す . この と き の 言 
葉 は , その 後 の 品質 に 関す る 考え 方 に 大 きく 影響 し て いま す . 今 で 
も 氏 に は 感謝 し て いま す . 
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1 プア ー ド ・ り カ パリ と パッ クワ ー ド ・ り カ バリ 
どちら も 元 は デー タベース の 障害 復旧 の 方 法 で す . な ん 
ら か の 障害 が 検出 され た と き に , 記録 され て いる 正常 だ っ 
た と き の デ ー タ を も と に 復旧 を 図り ます . 
組み 込み ソフ トウ ェ ア で は , リセ ッ ト 直後 の 初期 状態 や , 


も し 実行 履歴 を 記録 し て いる シス テム で あれ ば 障害 発生 直 
前 の 状態 を 基 に 復旧 を 行い ます . 基本 は リト ライ と スキ ッ 
プ で す . 障害 が 検出 され た と き は , 一 つ 前 の 処理 に 戻る か , 
ある い は リセ ッ ト に より 初期 状態 に 戻し , 再度 実行 を 試み 
まず リト ライ ). し か し , 物理 障害 な ど 恒 久 的 な 障害 の 場 
合 , 無限 ルー プ に 陥る 危険 も あり ます . 必ず 回 数 制限 を か 
ける な どの 対策 が 必要 で す . 

回 復 不 可能 な 障害 が 検出 され た 場合 は , 該当 処理 を スキ 
ッ プ する こと で , と に が く 先 へ 進め る 方 法 も あり ます . シ 
ステ ム の 停止 が 安全 を 損なう よう な 場合 , この 方 法 は 有効 
。 

2)) ダレ イス フル : デ グ ラ デー ショ シ 

直訳 すれ ば し と や か な 規模 縮小 」 で し ょ うか . シス テム 
が 人 危機 的 状態 で ある と き , 優先 度 の 低い も の か ら 順 に 処理 
を 切り 離し て , な ん と か 生き 延び よう と させ る 方 法 で す . 
通信 ドラ イ バ な ど で , 通信 レー ト を 落と し て で も な ん と か 
通信 を 継続 する と いっ た 方 法 も これ に あたり ます . 


人 @ 改造 か ら 守 る こと も 一 つの 機能 安全 

不正 改造 に よる 事故 は 記憶 に 新しい と ころ で す . せっ か 
く の 機能 安全 も , 不正 に 改造 され て し まえ ば ひと た まり も 
あり ませ ん . 前 述 の よう な 処理 技法 と 同時 に , 不正 改造 に 
対す る 防御 策 も 設計 し て お く こ と が 大 切 で す . この よう な 
技術 を 庫 タン パ tamper) 技術 と いい ます. 完ぺき な 方 法 
と いう の は 存在 し な い の で , 複数 の 方 法 を 投入 可能 な 範囲 
で 実装 し て お く こと が 有効 と な り ま す . 

内 容 の 性 質 上 , 対策 法 の 詳細 を 記述 する わけ に は いき ま 


設計 専門 会 社 で 働い て いる 技術 者 の 方 に は 特に , 積極 的 に セッ 
ト ・ メ ー カ の 担当 者 と 意見 交換 する こと を お 薦め し ます . また セッ 
ト ・ メ ー カ の 技術 者 の 方 は , 外注 先 の 若者 に も ぜひ 怖い 話 を た くさ 
ん し て いた だ きた いと 思い ます . いろ いろ な 規定 , 手法 , 技法 は あ 
れ ど , 設計 は 人 間 が 行い ます . 安全 に 対し て どう いう 意識 を 持つ か 
と いう の が , 実は 最も 重要 な の で は な いで し ょ うか 


組み 込み シス テム o 幅 頼 性 と 安全 ' 性 を 高め る 


せん が , 代表 的 な 考え 方 を 三 つ ほ ど 紹 介し ます . 

1) 暗号 化 

フラ ッシュ ROM の 普及 に より , 組み 込み ソフ トウ ェ ア 
で も 市 場 で プロ グラ ム を 書き 換え る ケー ス が 増え て いま す . 
首 号 化 され て いな い 場 合 , 逆 ア セン ブル な どの 手法 に より 
容易 に 改造 を 許し て し まい ます . 
2) チェ ッ ク ・ ルーチン の 分 散 


改造 に 対す る チェ ッ ク を 入れ て も , 実際 に チェ ッ ク 結果 
を 検査 する 個所 が 1 カ所 だ け で あれ ば , それ を バイ パス さ 
せる こと は 容易 と な り ま す . 
3) ソー ス 公 開 管理 

意外 な 盲点 が これ で す . 信頼 性 と 安全 性 向上 の た め に ソ 
ー ス を オー プン に する こと は 重要 で す . し か し , 限ら ちら れ た 
範囲 で あれ , ソー ス ・ プ ログ ラム と いう 最も 情報 量 の 大 き 
いも の の 一 つ を 流出 させ て し まう 危険 も 内 在 し て いま す . 
汎用 処理 な ど 複 数 の シス テム に 適用 され て いる ソフ トウ ェ 
ア の 情報 は , それ を 開示 する こと で 第 三 者 の シス テム 情報 
の 一 部 の 漏えい に も つなが る こと を 認識 し て お く 必要 が あ 
り ま す . 


また , レビ ュー に お いて 第 三 者 を 参画 させ る こと は 品質 
上 意義 深い こと で す が , 
いま す . シス テム ある い は 構成 部 品 の 安全 性 へ の 重要 度 に 
応じ て , 適切 に 情報 を 管理 する こと が 大 切 で す . 
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た ち ・ の ぶ ゆ き 
NEC マ イク ロ シ ス テバ 株) 


筆者 プロ フィ ー ル > 


1983 年 入社 . デバ イス 会 社 で ソフ ト 一 筋 . 経歴 の 長 さ に スキ ル が 比 


例 し な い の が 悩ま し い . 


話 PGA に お ける 設計 技術 セミ フ ッ レ ンス : 


本 誌 筆者 に よる 公演 の ご 案内 図 


6 都市 で 開催 され る 「 FPGA カン ファ レン ス 」( 主催 : 
FPGA コン ソー シア ム ) に お いて , 本 誌 筆 者 に よる FPGA 
活用 に 関す る 講演 が 開催 され ます . 参加 は 無料 で す . 


詳細 は http : / /www . Epga . or. ]p 


国 ( 金 ) 東京 FP 
キャ ン ソ > 


11 月 22 日 ( 水 ) な に わ FPGA カン ファ レン ス 
梅田 セン ター ビル 凶 


12 月 1 押 ( 金 ) 名 古屋 FPGA カン ファ レン ス 


セン ター 


10 月 13 国 ( 金 ) 仙台 F ス 図 名 古屋 市 中 小 企業 振興 会 館 較 
Ame ( 吹上 ホー ル 会 議 室 ) 較 


10 月 20 昌 ( 金 ) 札幌 FP 
CT" 
( ASTY45 ビ 


12 月 8 ( 金 ) 博多 FPGA カン ファ レン ス 較 
アク ロス 福岡 図 


FPGA デバ イス の 実像 と 技術 トレ ンド ( 熊本 大 学 大 学院 教授 末吉 敏 則 氏 ) 図 - 


FPGA は 飛躍 的 な 性 能 改 善 を 達成 し , 
」LSI 技 術 な どの 動向 に つい て 述べ る . 較 


な に わ 陸 - 組み 込み シス テム へ の FPGA 応用 事例 と マル チコ ア 


名 古屋 ・ 博 多 


」 タ と の 付き 合い か た な ど に つい て 解説 を 行う . 図 


化 対 庶 三 


製品 の 独自 機能 を 容易 に 実装 する FPGA は , 組み 込み シス テム の 要 で ある . FPGA の 高密 度 化 は CPU コア を 取込み , マル チコ ア を 容易 に 構築 で きる よう に な っ た . 
」 今回 は FPGA 応用 事例 か ら , ソフ トウ ェ ア と FPGA の イン ター フェ ー ス の 典型 例 な ら び に , マル チコ アシ ステ ム を 有効 活 


イニ シャ ル ・ コ スト の 低 さ と も 併せ て 組み 込み シス テム な どの 新た な 市 場 へ の 浸透 を 加速 させ て いる . 本 講演 で は , 現行 
FPGA の 実像 ( 面積 , 動作 速度 , 消費 電力 ) と 課題 に つい て 解説 する と も に , それ を 取り 巻く デバ イス ・ ア ー キ テク チャ 技術 や 対抗 馬 と し て の リコ ン フ ィ ギ ャ ラブ ル 


凌 電 機 マ イコ ン 機 器 リ ソフ トウ エア 宿 口 雅 弘 氏 ) 了 較 一 一 ーーーーー* 


する RTOS の 実装 例 に つい て 報告 する . 較 


組み 込み 機器 の 開発 産業 を 支援 する FPGA の 解説 と 活用 の 実際 来栖 川 電工 井倉 将 実 氏 ) 較 


膨大 な 出荷 台数 を 誇る 組み 込み シス テム 市 場 に お いて , FPGA の 搭載 事例 が 広がっ て いる . それ は 最新 FPGA な ら で は の 機能 を 上 手 に 活用 する こと で , 厳し い タ 
ー ン キー・ ビ ジネス を 成功 に 導ける か ら で あ る . 本 講演 で は 組み 込み 用 途 に ター ゲッ ト を 絞っ て 最新 FPGA の 解説 と 活用 時 の 注意 , な ら び に ASIC 化 や 海外 設計 セン 
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安全 性 の 観点 か ら 見 れ ば 危険 を 伴 


